Newsletter
Steuer- und Rechtstipps für alle im Gesundheitswesen - Jetzt monatlichen Newsletter abonnieren
NIS-2-Richtlinie: Anforderungen an Arztpraxen und MVZ
©songaboutsummer — stock.adobe.com

NIS-2-Richtlinie: Anforderungen an Arztpraxen und MVZ

5 min.
5. Dezember 2024

Die EU-Richtlinie Network and Information Security Directive (NIS-2) ist in nationales Recht umgesetzt und trat am 17. Oktober 2024 in Kraft. Für größere Arztpraxen und MVZ sind damit die Anforderungen an ihre Cybersecurity-Strategie deutlich gestiegen.

Der Gesundheitssektor ist zunehmend durch Cyberangriffe bedroht. Dadurch ist die Sicherheit sensibler Patientendaten und kritischer medizinischer Systeme gefährdet. Angesichts potenzieller Datenverletzungen und Beeinträchtigungen der klinischen Versorgung wird die Wichtigkeit einer robusten Cybersecurity-Strategie für Krankenhäuser und bedeutende Akteure im Gesundheitswesen immer deutlicher. Daher wurde die EU-Richtlinie Network and Information Security Directive (NIS-2) in nationales Recht umgesetzt.

Für welche Unternehmen die Richtlinie gilt

Betroffen von der deutschen Umsetzung der NIS-2-Richtlinie, des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), sind grundsätzlich alle Unternehmen mit

  • mindestens 50 Mitarbeiterinnen und Mitarbeitern oder
  • einem Jahresumsatz von mindestens zehn Millionen Euro,

die in gesellschaftlich relevanten und kritischen Sektoren tätig sind – den KRITIS-Unternehmen. Dazu gehören auch Betriebe des Gesundheitswesens.

Anforderungen an Unternehmen

Betroffene Betriebe müssen die NIS-2-Sicherheitsanforderungen auf Basis eines Risikomanagements umsetzen. Dabei müssen sie nachweisen, dass sie die Wahrscheinlichkeit und die Auswirkung eines Cyberangriffs miteinbezogen haben. „Das bedeutet, dass größere Betriebe des Gesundheitswesens geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen müssen, mit denen sie die Risiken für die Sicherheit ihrer Netz- und Informationssysteme vollständig beherrschen“, erläutert Larissa von Paulgerg, zertifizierte Datenschutzbeauftragte bei Ecovis in München. Betroffene Unternehmen müssen die Auswirkungen von Sicherheitsvorfällen abwenden und so gering wie möglich halten können und deshalb entsprechende Maßnahmen ergreifen. Zu diesen gehören:

  1. Datensicherung: Daten sind gegen Verlust zu sichern. Die Backups müssen von Cyberattacken unberührt bleiben können. Die Sicherungen müssen zudem regelmäßig erfolgen und sollten auch auf „Funktion“ geprüft werden.
  2. Firewall: Die Firewall sollte so konfiguriert sein, dass sie ausschließlich erforderliche Datenverbindungen zulässt.
  3. Monitoring: Ein Frühwarnsystem hilft den Systemverantwortlichen dabei, größeren Schaden abzuwenden, wenn zum Beispiel ein ungewöhnlich hoher oder ungewöhnlicher Datenverkehr herrscht.
  4. Benutzerkonten nach Need-to-Know-Prinzip: Der Zugriff auf sensible Daten sollte nur autorisierten Mitarbeiterinnen und Mitarbeitern gewährt sein, die diese Informationen zur Ausübung ihrer beruflichen Aufgaben tatsächlich benötigen. So lässt sich das Risiko eines unbefugten Zugriff s minimieren.
  5. Notfallplan: Ein Notfallplan ist zu erstellen und die Umsetzbarkeit in der Praxis sollte mit Ernstfall-Übungen überprüft werden. Der Notfallplan sollte auch Regeln enthalten, wer wann informiert wird. Dabei ist ebenso an die IT, den Datenschutzbeauftragten sowie die Beschäftigten zu denken.
  6. Frühzeitige Kommunikation: Betroffene Personen und Abteilungen sind immer so schnell wie möglich über Vorfälle zu informieren, eventuell auch dann, wenn noch nicht klar ist, ob und welche (personenbezogenen) Daten betroffen sind.
  7. Fortbildung: Regelmäßige Fortbildungen der Verantwortlichen für die IT sowie für diejenigen Personen, die für die Sicherheit der IT zuständig sind, sind zwingend erforderlich.

Mit System gegen Attacken

„Wir empfehlen unseren Mandanten, ein Risikomanagement in ihrem Unternehmen zu etablieren. Denn durch eine strukturierte Analyse lassen sich potenzielle Bedrohungen und Schwachstellen in den Netz- und Informationssystemen frühzeitig erkennen“, sagt von Paulgerg. Das umfasst sowohl interne als auch externe Bedrohungen, etwa Cyberangriffe, Datenschutzverletzungen, Systemausfälle oder auch menschliches Fehlverhalten.

Zu den Bausteinen eines guten Risikomanagements zählen:

  • Interne Regelungen: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
  • Vorfallsbewältigung: erkennen, analysieren, eindämmen und reagieren
  • Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
  • Supply Chain: Sicherheit in der Lieferkette
  • Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
  • Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  • Cyberhygiene, Schulung: Cyberhygiene, zum Beispiel Updates und Schulungen in Cybersecurity
  • Kryptografie: Einsatz von Verschlüsselung im IT-Verbund
  • Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
  • Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  • Kommunikation: sichere Sprach-, Video- und Text-Kommunikation

Unternehmen müssen sich bei der zuständigen Behörde registrieren und ihre Kontaktdaten hinterlegen. Sicherheitsvorfälle, die zu schweren Betriebsstörungen führen, sind meldepflichtig. Die KRITIS-Unternehmen unterliegen behördlicher Aufsicht: Externe Kontrollen und Prüfungen werden regelmäßig und ad hoc durchgeführt.

Sicherheit ist Chefsache

Im Gesetz ist verankert, dass die Geschäftsleitungen sich zu den Themen Risikomanagement und Informationssicherheit fortbilden müssen. Die Geschäftsführung muss in der Lage sein, die erforderlichen Maßnahmen und Risiken bewerten und priorisieren zu können. „Sollte doch ein Vorfall eintreten und wurde der IT-Sicherheit nicht genügend Rechnung getragen, ist die Geschäftsleitung unmittelbar haftbar“, sagt von Paulgerg. Neben der Einhaltung von Informationssicherheitsstandards bringt die Richtlinie auch eine unverzügliche Meldepflicht innerhalb von 24 Stunden bei signifikanten Störungen, bei Vorfällen und IT-Bedrohungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dies gilt jedoch ausschließlich für die durch das NIS2UmsuCG regulierten Unternehmen. „Zu diesen gehören auch große Arztpraxen und MVZ“, erklärt Ecovis-Expertin von Paulgerg.

Das Wichtigste für Heilberufler aus Steuern und Recht - jetzt anmelden!
Dr. Larissa von Paulgerg
zertifizierte Datenschutzbeauftragte in München
Tel.: +49 89 217516-700

Aktuelle Beiträge

Magazin ECOVIS med: